[问题] 避免javascript上的XSRF问题 nicknick196 PTT批踢踢实业坊

[问题] 避免javascript上的XSRF问题

楼主: nicknick196 (è½å¤©ç”±å‘½) 2015-07-06 14:52:59

XSRF是一种，跨站假要求(Cross-Site Request Forgery；CSRF/XSRF)是一种点击攻击
(Click Attack)与连线控制(Session Riding)，
或称连线绑架(Session Hijacking)，会造成使用者在浏览信赖的网页或邮件时，遭受到
来自其他地方的攻击。
以下是我的Code
window.location = window.location.href.split("#")[0] + "#";
经过机器检测，有以下的问题
Methos $ at line 23 /x/x/x/test.js of gets a parameter from a user request
URL from element split.
This parameter value flows the code and is eventually used to modify database
contents.
The application does not require renewed user authentication for the request.
This may enable Cross-Site Request Forgery(XSRF).
由于本身是第一次,了解到这问题,想请问各位前辈,不知有何办法或参考范例能解决此问
题?

作者: mrbigmouth (大嘴先生) 2015-07-06 16:44:00

不要自己split 改用location = location.origin +location.pathname + '#';这样试看看?

作者: eight0 (æ¬¸XD) 2015-07-06 19:51:00

如果你是要跳到页面最上方 location = "#" 就行

继续阅读

[问题] HTML5 stream audio source 断线问题chan15 Re: [问题] 如何动态加载方法?LaPass [问题] 可以追踪 DOM 结果是被那些 script 改变的吗chan15 [问题] 如何动态加载方法?aoksc [问题] sweet alert的comfirm如何回传bool?aoksc [问题] 动态下拉式选单不同浏览器结果不一样yhls [问题] 指定radio后的文字颜色light0617 [问题] json回传undefinedDeicide [ js ] XMLHttpRequest奇怪的情形whangwang [情报] 今晚有写测试吧课程转让fbp123000